Dans une décision en date du 04 octobre 2024 (C-621/22), la Cour de justice de l’Union européenne (CJUE) a apporté une clarification majeure sur l’interprétation de l’article 6 du Règlement Général sur la Protection des Données (RGPD). Elle a jugé qu’un intérêt commercial pouvait être reconnu comme un intérêt légitime pour justifier le traitement de données personnelles, sous réserve de conditions strictes.
🟠 1 – Contexte de l’affaire
La KNLTB, fédération néerlandaise de tennis, avait communiqué, moyennant rémunération, des données personnelles de ses membres à deux sponsors commerciaux sans le consentement préalable de ces derniers. Ces sponsors ont ensuite utilisé ces informations à des fins de prospection commerciale.
L’autorité néerlandaise de protection des données, l’Autoriteit Persoonsgegevens, a infligé une amende à la KNLTB, estimant que cette pratique violait le RGPD.
La fédération a contesté cette décision, arguant que la communication des données reposait sur son intérêt légitime.
🟠 2 – Décision de la CJUE : l’intérêt commercial, un intérêt légitime sous conditions
L’article 6 du RGPD prévoit que le traitement des données personnelles est licite, même sans consentement lorsqu’il repose sur un intérêt légitime, à condition qu’il ne soit pas contraire à la loi et qu’il ne porte pas atteinte aux droits fondamentaux des individus.
La CJUE a ainsi confirmé qu’un objectif purement commercial pouvait constituer un intérêt légitime. Toutefois, cette reconnaissance repose sur plusieurs critères stricts :
- L’intérêt commercial invoqué doit être indispensable à la réalisation de l’objectif poursuivi.
- Il ne doit pas exister d’alternative moins intrusive pour atteindre ce même objectif.
- Le traitement des données ne doit pas porter une atteinte disproportionnée aux droits et libertés fondamentaux des personnes concernées.
Ainsi, la CJUE a souligné que la communication de données à des fins de prospection commerciale devait être effectuée avec prudence, en tenant compte des attentes raisonnables des membres de la fédération et de l’impact potentiel sur leur vie privée.
🟠 3 – Un équilibre à respecter entre intérêts économiques et protection des données
Si la reconnaissance d’un intérêt commercial comme base légale ouvre des perspectives aux entreprises, elle ne leur offre pas pour autant un passe-droit. La CJUE insiste sur la nécessité de trouver un équilibre entre les intérêts économiques des entreprises et la protection des données des individus.
Les entreprises doivent donc procéder à une analyse rigoureuse, en tenant compte notamment :
- Des attentes raisonnables des personnes concernées: un utilisateur peut-il raisonnablement s’attendre à ce que ses données soient utilisées à cette fin ?
- De l’impact du traitement sur la vie privée: le traitement des données crée-t-il un risque excessif pour la personne concernée ?
- Des mesures mises en place pour protéger ces données: l’entreprise a-t-elle prévu des mécanismes de sécurisation et de limitation de l’accès aux données ?
🟠 4 – La position de la CNIL sur l’intérêt légitime
En France, la CNIL a déjà admis que l’intérêt légitime pouvait justifier certains traitements de données, notamment lorsqu’il faut :
- Garantir la sécurité du réseau et des informations,
- Lutter contre la fraude, afin de prévenir les activités malveillantes.
Toutefois, la CNIL reste stricte sur certaines pratiques, notamment concernant la prospection commerciale par e-mail qui reste soumise au consentement explicite des utilisateurs, sauf en cas de relation commerciale préexistante.
🟠 5 – Quelles conséquences pour les entreprises ?
Cette décision de la CJUE pourrait avoir un impact significatif pour les entreprises qui traitent des données personnelles. Elle leur permet d’invoquer plus facilement l’intérêt légitime pour justifier certains traitements, sans systématiquement recourir au consentement.
Toutefois, cette nouvelle approche implique une analyse au cas par cas, exigeant de démontrer que :
- L’intérêt commercial poursuivi est légitime et proportionné,
- Les droits des individus sont respectés,
- Des mesures de protection suffisantes sont mises en place.
En l’absence de ces garanties, un traitement fondé sur l’intérêt légitime pourrait être jugé non conforme au RGPD, exposant l’entreprise à des sanctions.
🟠 Conclusion
Avec cette décision, la CJUE ouvre la porte à une reconnaissance plus large de l’intérêt commercial comme base légale pour le traitement des données. Toutefois, les entreprises devront redoubler de prudence en évaluant les risques et en s’assurant que leurs pratiques respectent les droits des individus.
Dans un contexte où les autorités de protection des données, telles que la CNIL, restent particulièrement vigilantes, cette évolution souligne l’importance d’une gestion rigoureuse et transparente des données personnelles.
Pour en savoir plus / sources : https://www.cnil.fr/fr/les-bases-legales/interet-legitime https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique |
Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés. À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension. Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.